Comunidade Ask Me Anything- Segurança para Trabalhadores Remotos

Cisco Moderador · ‎03-23-2020

Aqui está sua chance de discutir as tecnologias de seguranca remota da Cisco, como AnyConnect, ASA, FTD, Duo e Umbrella. Nesta sessão, os especialistas responderão á perguntas sobre licenças de emergência, design, configuração e solução de problemas. Nossos especialistas abrangem mais de 12 fusos horários. Além disso, traduziremos a sessão em vários idiomas para fornecer a melhor experiência possível.

Este fórum funciona bem como uma introdução para aqueles que não estão familiarizados com essas soluções de segurança e/ou começaram a usá-las recentemente.

Faça suas perguntas a partir de 20 de março até sexta-feira 03 de abril de 2020.

Especialista convidado

Divya Nair é engenheira técnica de marketing do Security Business Group em Raleigh, Carolina do Norte. Ela tem mais de 10 anos de experiência em tecnologias de segurança de rede da Cisco, incluindo firewalls, IPS, VPN e AAA; e atualmente se concentra nas plataformas de gerenciamento de VPN e firewall. Divya é bacharel em Ciência da Computação e Engenharia.

Aditya Ganjoo é engenheiro técnico de marketing em Bangalore, Índia. Ele trabalha com a Cisco há sete anos em domínios de segurança como Firewall, VPN e AAA. Aditya ministrou treinamentos em tecnologias ASA e VPN. Ele é bacharel em Tecnologia da Informação. Além disso, ele é um CCIE em segurança (CCIE # 58938). Ele tem contribuído de forma consistente na Comunidade de suporte da Cisco e já realizou várias sessões no Cisco Live.

Jonny Noble lidera a equipe de Marketing Técnico de Segurança em Nuvem da Cisco, com experiência em Cisco Umbrella e tecnologias vizinhas. Por mais de 20 anos, Jonny obteve experiência em disciplinas voltadas para clientes deorganizações globais de alta tecnologia. Ele também tem uma rica experiência na apresentação de sessões de acompanhamento e laboratórios de controle nos eventos Cisco Live, além de representar a Cisco em vários eventos de clientes e parceiros, feiras e exposições. Jonny é formado em Eletrônica, Sociologia, MBA em Negócios e é certificado pela CISSP.

Devido ao volume previsto para esse evento de alta demanda, Divya, Aditya, Jonny podem não conseguir responder a todas perguntas. Portanto, lembre-se de que você pode continuar a conversa diretamente na comunidade de Segurança.

Ao postar uma pergunta neste evento, você está dando permissão para ser traduzido em todos os idiomas que temos na comunidade.

Encontre mais eventos em: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidade-portugues

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

Cisco Moderador · ‎03-26-2020

Temos dois enclaves interconectados, em que o enclave externo está usando o AnyConnect para acessar a Internet.

Meu enclave está protegido por um ASA-5585-X e preciso fornecer um conjunto muito pequeno de acesso de usuário a esse enclave. Meu primeiro pensamento foi aninhar uma sessão do AnyConnect dentro de outra sessão, criando um túnel dentro de um túnel, mas parece que não está funcionando.

Se os administradores do enclave externo criassem um NAT que expusesse a interface externa do meu firewall, os usuários finais poderiam se conectar a um endereço IP diferente e ignorar o firewall externo para uma sessão VPN?

Layout conceitual

Internet ====>> Outside firewall ====>> Outer enclave ====>> Inside firewall (my ASA) ====>> Inner enclave

Eu preciso disso, de alguma forma:

Internet ========================>> VPN ===================================>>Inner enclave

Alguma sugestão?

Obrigado,

Gregg

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por gregg.discenza1.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎03-26-2020

Você pode criar um NAT estático para os usuários acessarem os recursos por trás do Firewall interno.
Internet ========================>> VPN ===================================>>Inner enclave
Ou você pode permitir a sub-rede específica do enclave interno na política de VPN e, em seguida, restringir a parte externa (pequeno conjunto de usuários) configurar uma ACL de entrada no FW interno.
Supondo que a VPN do Anyconnect seja encerrada no FW externo e depois disso tudo estará em texto não criptografado.
Espero que ajude!
Aditya

Cisco Moderador · ‎03-26-2020

Supondo que as informações da subnet do enclave interno sejam publicadas no enclave externo, o que não é.

Não posso usar uma restrição baseada em IP, pois alguns dos usuários que precisam acessar o enclave interno estão dentro do enclave externo.

Existe alguma maneira de usar o adaptador VPN do Windows 10 para conectar-se ao ASA?

Gregg

Nota: Esta pergunta é uma tradução de uma postagem criada originalmente em inglês por gregg.discenza1.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Divya Nair · ‎03-26-2020

Oi,

Existe um problema no uso da VPN externa para encerrar todas as conexões e ter tunnel-groups/connection profile/group-policy para os usuários externos e internos? A razão pela qual pergunto é porque o uso do cliente L2TP ainda será um tunnel-in-a-tunnel.

Cisco Moderador · ‎03-27-2020

Aqui está uma excelente referência para o AnyConnect: https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215331-anyconnect-implementation-and-performanc.html

Espero que você e seus entes queridos estejam seguros e saudáveis!

Monica Lluis

Líder Global da Comunidade Cisco

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Monica Lluis. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎03-27-2020

Olá Monica,

Obrigado por compartilhar esse documento importante.

Nossos especialistas globais em VPN recentemente fizeram um podcast focado em RAVPN e em como otimizar o desempenho do AnyConnect. Os comentários do programa incluem links para o documento que você referenciou e muito mais:

https://community.cisco.com/t5/security-documents/episode-57-maximizing-anyconnect-performance-during-the-covid-19/ta-p/4053676

Bill

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Bill O. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎03-30-2020

No caso em que estamos usando no-split-tunnel ou tunnel-all-DNS para nossa VPN de acesso remoto e combinando esses recursos com o Umbrella, temos um problema para os pontos de extremidade não gerenciados acessando a página de bloqueio do Umbrella para sites https e obtendo o erro de certificado . Como o https é usado para 80% (ou mais) de todo o tráfego da Web, isso é cada vez mais um problema.

Para terminais gerenciados, isso não é muito problemático, pois podemos enviar o certificado para os repositórios de certificados locais via GPO (ou outro software EMM), conforme descrito na documentação da Umbrella:

https://docs.umbrella.com/deployment-umbrella/docs/install-cisco-umbrella-root-certificate

Para terminais não gerenciados, é difícil solicitar aos usuários finais que baixem e confiem no certificado da Umbrella. Existe alguma prática recomendada que possamos adotar para evitar a necessidade de fazer isso?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

jonnoble · ‎03-30-2020

Olá Marvin. No caso de dispositivos não gerenciados, a melhor prática é dividi-los em uma rede diferente (ou identidade no painel da Umbrella) e aplicar uma política separada a eles.
Nessa política separada, você não deve habilitar o intelligent proxy (sem inspeção de arquivo de arquivo e, portanto, sem descriptografia de HTTPS). Ao manter toda a aplicação de segurança apenas na camada DNS, você não encontrará esses problemas.
Embora eu entenda que essa divisão de tráfego é mais fácil quando em uma rede corporativa (ou seja, o tráfego de convidados ou dispositivos não gerenciados passam por vlans ou SSIDs separados), no seu caso, no momento, parece que você está se referindo a trabalhadores remotos que estão se conectando a VPN e esse é o mesmo tipo de conexão para dispositivos gerenciados e não gerenciados.
Nesse caso, você precisaria desativar a inspeção de arquivos em todas as políticas da Umbrella que abrangem identidades onde os dispositivos não gerenciados serão incluídos.

Cisco Moderador · ‎03-30-2020

Obrigado, jonnoble - Eu tinha medo que essa fosse a resposta, embora seja bom ter a confirmacao.

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎03-31-2020

Oi,

Quando eu quero configurar o roteador do CCP, recebo um erro:

'O componente de segurança falhou. Para trabalhar nos recursos de Roteador ou Segurança, faça o seguinte. Vá para Java Control panel -> Advanced tab -> Java Plug-in tree Entry. Desmarque a caixa de seleção Ativar Java Plug-in da próxima geração. Reinicie o CiscoCP depois disso.

Eu estava tentando desmarcar o plug-in Java NGN, mas não consigo encontrar a opção de plug-in na guia avançada. Poderia ajudar por favor?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por jefreyoropesa.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎03-31-2020

Solicito que você tente postar isso na seção Gerenciamento de rede para obter uma resposta melhor:
https://community.cisco.com/t5/network-management/bd-p/5931-discussions-network-management

Atenciosamente,

Aditya

Cisco Moderador · ‎03-31-2020

Eu encontrei e fui apontado passo a passo para dividir, mas não quero dividir. Alguém pode me indicar o passo a passo para NÃO dividir o tunnel?

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas

Aditya Ganjoo · ‎04-01-2020

Oi,
Você poderia elaborar a sua solicitacao?
Deseja desativar o Split tunnel? Se sim, você pode usar a opção TunnelAll.
Compartilhe a configuração, se possível, e qual é o caso de uso?

Cisco Moderador · ‎04-01-2020

Se você usar o tunnel, como essa alteração afeta a instrução NAT. Eu basicamente tinha tudo trabalhando com o tunnel dividido. Quando mudo para o tunnel, todo o acesso à Internet é perdido.

Obrigado.

Nota: Esta comenário é uma tradução de uma postagem criada originalmente em inglês por tjjackson.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Aditya Ganjoo · ‎04-01-2020

Presumo que seja um ASA.

Você precisaria dos seguintes comandos para obter acesso à Internet.

Precisamos prender o tráfego para os usuários do Anyconnect.

same-security-traffic permit intra-interface

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

Onde obj-AnyconnectPool é o Anyconnect Pool network

Atenciosamente,

Quick links